Trust Center
Comment Laetitia protège les données de vos candidats et gouverne son IA de recrutement. Cette page est générée depuis les mêmes sources que nos documents contractuels (DPA, registre des traitements) — elle ne peut pas en diverger.
Résidence des données
EU (eu-west-1)Les données applicatives sont hébergées dans l'Union européenne (AWS eu-west-1). Les traitements IA font appel à des sous-traitants listés ci-dessous, encadrés par DPA et clauses contractuelles types (CCT). La liste nominative complète figure dans l'annexe « Sous-traitants » du DPA, transmise aux clients sous contrat et sur demande motivée.
Sous-traitants
| Sous-traitant | Finalité | Localisation | Données traitées |
|---|---|---|---|
| Fournisseur d'inférence IA — texte | Matching, enrichissement de profils, analyse d'entretien blanc | UE/US (CCT + DPF) | CV (PII masquée), descriptions de postes, transcripts d'entretien blanc (PII masquée) |
| Fournisseur d'IA vocale temps réel & transcription | Entretien blanc vocal du candidat (entraînement, jamais d'évaluation automatisée) | US (CCT + DPF) | voix du candidat (flux audio temps réel), transcripts d'entretien, contexte poste/entreprise |
| Fournisseur d'avatar vidéo (option) | Avatar animé de l'entretien blanc (streaming) | US (CCT + DPF) | transcript assistant (synchronisation labiale), identifiants de session |
| Stripe | Paiement et facturation | US (CCT + DPF) | données de facturation |
| Amazon Web Services (AWS) | Hébergement, base de données et stockage | UE (eu-west-1) | toutes données applicatives |
| Cache applicatif managé | Sessions et cache temporaire | UE | sessions, cache temporaire |
Cette liste est identique à l'annexe « Sous-traitants » de notre DPA — même source de données.
Droits des personnes (RGPD)
- ✓Accès (Art. 15 RGPD) — export complet self-service
- ✓Rectification (Art. 16)
- ✓Effacement (Art. 17) — propagé sur l'ensemble des tables et systèmes
- ✓Limitation du traitement (Art. 18)
- ✓Portabilité (Art. 20) — export machine-readable
- ✓Opposition (Art. 21)
- ✓Décisions automatisées (Art. 22) — consultation et contestation de chaque décision IA depuis le portail candidat
Gouvernance de l'IA (EU AI Act)
Les fonctions IA de recrutement de Laetitia relèvent de l'Annexe III point 4 du règlement européen sur l'IA (systèmes à haut risque) et sont traitées comme telles.
Chaque organisation désigne un responsable de la supervision humaine des décisions IA (Art. 14). Aucun rejet de candidature n'est automatisé : la révision humaine du score IA est tracée au moment de la décision.
Droits des candidats face à l'IA
- ✓Information sur l'usage de l'IA avant tout entretien ou évaluation
- ✓Consultation de toutes les décisions IA les concernant
- ✓Contestation en un clic, avec revue humaine
Documentation
- ✓Registre des traitements (Art. 30 RGPD) tenu à jour — 12 activités documentées
- ✓Analyses d'impact (DPIA Art. 35) et analyses d'impact sur les droits fondamentaux (FRIA, Art. 27 AI Act) générées par organisation
- ✓Documentation technique par contexte IA (base Annexe IV AI Act)
Sécurité
- Hébergement : AWS, région primaire Union européenne (eu-west-1) ; résidence des données régionalisée (tables et stockage par région pour les organisations qui le requièrent).
- Chiffrement : Chiffrement en transit (TLS) et au repos (AES-256, gestion des clés AWS) ; les secrets applicatifs ne transitent jamais côté client.
- Suppression : Suppression sur demande (Art. 17) : immédiate quand le volume le permet, sinon traitement asynchrone sous 30 jours, propagée à l'ensemble des tables et sous-traitants.
Mesures applicatives
- ✓Authentification multifacteur (TOTP) imposée aux rôles sensibles
- ✓Sessions serveur révocables immédiatement (déprovisionnement en un clic)
- ✓Limitation de débit globale et par fonctionnalité, plafonds de taille de requête
- ✓Filtrage anti-injection sur toutes les données libres soumises aux modèles IA (OWASP LLM01)
- ✓Plus de 1 100 tests automatisés exécutés en continu + parcours d'interface rejouables
- ✓Test d'intrusion interne documenté (15 scénarios) avec correctifs vérifiés
- ✓Journal d'audit inviolable (rétention 2 ans)
Chemin de certification
Sécurité auditée en interne et documentée — pas encore de certification tierce : nous préférons l'écrire que le laisser deviner.
SOC 2 Type II : collecte de preuves démarrée avec la mise en production, certification par un auditeur indépendant visée dans les 12 mois suivant le lancement.
Notification des violations
Notification des violations de données aux organisations clientes et aux autorités compétentes dans les délais réglementaires de chaque juridiction.
Rétention des données
- Journaux d'audit : 2 ans (TTL automatique, journal inviolable)
- Journaux de décisions IA : Aligné sur la politique de résidence de chaque organisation (90 jours par défaut)
- Candidatures : Durée du processus de recrutement + 365 jours (organisations DIRECT)
Obtenir le dossier de conformité complet
DPA signé, liste nominative des sous-traitants, registre des traitements, DPIA/FRIA et documentation technique IA sont transmis aux clients, aux prospects en évaluation avancée et aux autorités de contrôle — sur demande motivée (identité et organisation vérifiées), le cas échéant sous accord de confidentialité. Chaque dossier transmis est individualisé. Écrivez à privacy@mima-ai.com en précisant votre organisation et le contexte de la demande — réponse sous 2 jours ouvrés.